El patrón detrás de las acciones regulatorias

Los esquemas que pasan las auditorías

No hace falta un fraude sofisticado para colárnosla. Por lo que conozco de los expedientes públicos del ICAC y de los casos que han llegado a la CNMV, lo que pasa desapercibido suele ser bastante elemental: ingresos inflados las dos últimas semanas de diciembre, gastos que se difieren sin que nadie pregunte por qué, partes vinculadas que aparecen disfrazadas de cliente normal. La sofisticación no está en el fraude, sino en lo bien que conoce la dirección los procedimientos rutinarios del auditor.

La NIA-ES 240.11 exige considerar que la dirección puede eludir los controles que aparentemente operan de manera efectiva. Es una obligación que en el papel todos firmamos. Vaya por delante que en muchos encargos esa consideración se queda en una frase de plantilla en el ACL y un memo que dice "se ha discutido en reunión de equipo." Fue un trámite. Y el ICAC, cuando viene, se conforma con que esa frase exista.

Aquí está la primera bomba de relojería: confiamos en controles que la dirección, si quiere, conoce mejor que nosotros. El director financiero de una pyme cotizada lleva diez años con el mismo PGC, el mismo ERP y el mismo socio. Sabe perfectamente qué muestreará el junior y qué pasará por encima el manager.

Por qué fallan los procedimientos estándar

La NIA-ES 240.A29 advierte de que los procedimientos analíticos pueden no detectar fraude cuando los datos están sesgados desde el origen. Vamos, que si los ingresos están manipulados, el ratio de rotación de clientes también lo está, y el "se mantiene dentro del rango histórico" es exactamente lo que la dirección quiere que escribamos. Sin embargo, la mitad de los papeles de trabajo que he visto en revisiones cruzadas siguen apoyándose en ratios y tendencias como si fueran prueba sustantiva.

El problema de fondo es que tratamos la NIA-ES 240 como un cuestionario. La norma exige juicio profesional adaptado a las circunstancias del cliente. Cuando el equipo aborda la evaluación del riesgo de fraude como un trámite administrativo de busy season, las señales de manipulación se quedan fuera del expediente.

Lo que ha pasado de verdad: el caso Metalúrgica del Norte

Caso de estudio: Metalúrgica del Norte S.A., Bilbao

Metalúrgica del Norte S.A., entidad cotizada en BME Growth, reportó ingresos de 12,3 millones de euros en el ejercicio 2023, con un crecimiento del 15% sobre el año anterior. Tenía un covenant bancario que exigía un ratio de cobertura de intereses mínimo de 2,5x. El equipo auditor era un despacho mediano con tres encargos EIP en cartera.

Paso 1. Procedimientos analíticos preliminares según la NIA-ES 520.6. El crecimiento del 15% encajaba con la expansión del sector siderúrgico vasco según los datos del Eustat. No se identificaron variaciones inesperadas. La rotación de clientes pasaba de 45 a 52 días, explicable por el peso creciente de grandes proyectos industriales.

Nota de papeles de trabajo: ratios de actividad coherentes con el sector. Se documenta la conversación con el director financiero (Sr. Etxeberria) sobre la composición de la cartera de clientes.

Paso 2. Pruebas de corte (cut-off) bajo la NIA-ES 240.A32. Muestra de 15 facturas en los últimos cinco días de diciembre. Todas con albarán firmado, todas con condiciones de cobro estándar, todas dentro de NIIF 15.

Nota de papeles de trabajo: facturas 2789 a 2803 revisadas. No se observan indicios de channel stuffing. Se concluye que el corte es adecuado.

Paso 3. Análisis de tendencias mensuales del cuarto trimestre. Octubre 1,1 M€, Noviembre 1,0 M€, Diciembre 1,2 M€. Distribución uniforme, sin concentración de fin de ejercicio.

Hasta aquí, todo el trabajo es conforme. Si viene el ICAC, los papeles cuadran.

La señal que se escapó. En diciembre se firmaron tres contratos de 400.000 € cada uno con clientes nuevos. El equipo los consideró parte del crecimiento normal y no aplicó la NIA-ES 240.A34, que obliga a evaluar si las transacciones significativas fuera del curso ordinario de los negocios pueden indicar fraude. ¿Por qué no se aplicó? Porque la prueba del A34 vive en el juicio profesional, y nadie en el equipo quiso abrir un frente con el partner a tres semanas del informe.

Lo que se descubrió seis meses después. La CNMV identificó que dos de los tres clientes nuevos eran sociedades pantalla controladas por accionistas de Metalúrgica del Norte. Las ventas eran reales, las mercancías habían salido del almacén, las facturas eran auténticas. Lo que faltaba era la divulgación de partes vinculadas y la sustancia económica del cobro: los pagos se financiaron con préstamos circulares entre las propias entidades del grupo familiar. Reconocimiento de ingresos acelerado por la puerta de atrás.

Lo que esto significa en la práctica. Los procedimientos estándar buscaron sustancia en las transacciones individuales y la encontraron. Lo que no buscaron fue la relación entre las contrapartes, porque eso no estaba en el programa de trabajo y nadie había marcado a Metalúrgica del Norte como cliente de riesgo elevado.

La discrepancia entre Partner A y Partner B

Aquí es donde aparece el debate real, el que se tiene en la sala de reuniones cuando no está el cliente delante.

Partner A sostiene que el equipo hizo su trabajo. Aplicó los procedimientos del programa, documentó las conclusiones y la firma de la dirección sobre la carta de representación cubre los aspectos que el auditor no podía conocer. La NIA-ES 240 no convierte al auditor en investigador. Si la dirección oculta deliberadamente partes vinculadas, la responsabilidad es de la dirección.

Partner B discrepa. La rotación de clientes pasó de 45 a 52 días. Los tres contratos nuevos representaban casi el 10% del crecimiento. La explicación de la dirección era plausible, sí, pero plausible no es lo mismo que probada. El A34 está escrito precisamente para esto. Lo que ocurrió, dice Partner B, es que el equipo no quiso abrir el melón porque sabía que el partner necesita el cliente para la próxima campaña.

¿Quién tiene razón? Por lo que conozco, los dos. Partner A describe la norma como tribunal: si el papel está firmado, no hay incumplimiento sancionable. Partner B describe la norma como obligación profesional: la detección efectiva exigía expandir el alcance, y no se hizo. El ICAC sanciona al primer modelo. La calidad real depende del segundo.

Por qué el sistema premia documentar y no detectar

A ver, hablemos claro. La NIA-ES 240 está bien escrita. El problema no es la norma. El problema es que la inspección del ICAC se centra (necesariamente, con ocho inspectores) en lo que es verificable a posteriori: la trazabilidad documental del expediente. Lo que no puede inspeccionar es si el escepticismo profesional fue real o fue una casilla marcada.

El resultado es un incentivo perverso. Si yo, como socio firmante, dedico tres horas más a un cliente para perseguir una señal de A34 que probablemente no llegue a nada, esas horas no son recuperables (los honorarios están cerrados, la competencia firmó por menos), y si la señal no acaba en hallazgo, no hay rastro de mi trabajo en el expediente. Si en cambio dedico esas tres horas a reforzar la documentación estándar, el papel está más sólido, el ICAC encuentra menos deficiencias y la firma queda mejor en la inspección.

Lo que esto significa: la firma racional, presionada por honorarios decrecientes, optimiza papeles de trabajo, no detección. La norma es lógicamente coherente y operativamente autoderrotada, porque la competencia en honorarios fuerza a fijar el procedimiento de fraude en el suelo que el competidor aceptará, no en el techo que la detección requeriría. Es una cuestión de incentivos, no de mala fe individual.

No hombre, no. No me digan que esto es lo que querían los redactores de la NIA-ES 240 cuando escribieron el A29.

Cómo corregirlo en la práctica

Lo que viene no es un programa de trabajo nuevo. Es una lista de comprobaciones que un equipo razonable puede integrar en un encargo EIP medio sin disparar las horas.

1. Coherencia entre fuentes independientes. Los registros del IVA trimestral, las declaraciones de IS y la información sectorial del INE o de las asociaciones del ramo deben confirmar las tendencias reportadas en las CCAA. La NIA-ES 240.A8 lo exige y casi nadie lo documenta más allá de "se han revisado". Documentar la conciliación, no la afirmación.

2. Estimaciones que tiran sistemáticamente hacia el lado de la dirección. Si las provisiones, los deterioros y los reconocimientos de ingresos van todos en la dirección que más le conviene a la dirección, el A47 obliga a la revisión retrospectiva. En la práctica, esto significa abrir el ejercicio anterior y comparar la estimación con el resultado real. Si el sesgo es sistemático, hay bomba de relojería.

3. Independencia real de las contrapartes significativas. Una búsqueda en el Registro Mercantil de los administradores y accionistas de los principales clientes y proveedores cuesta poco y revela conexiones que la dirección no siempre divulga. En el caso de Metalúrgica del Norte, esa búsqueda habría detectado a los accionistas detrás de las dos sociedades pantalla en quince minutos.

4. Conversaciones con personal no directivo. El párrafo 240.15(b) lo exige y suele resolverse con el director financiero, que es exactamente la persona menos útil para detectar fraude orquestado por la dirección. Hablar con el responsable de tesorería, con el de almacén, con el comercial que perdió la cuenta. Documentarlo de verdad.

5. Cronología de las decisiones contables críticas. Si los cambios de política o de estimación coinciden con periodos de tensión (renovación de covenant, ronda de financiación, salida de un accionista), aplicar la NIA-ES 240.A6 sobre gestión de resultados. La cronología la conoce el director financiero; el auditor tiene que reconstruirla.

Errores frecuentes en la aplicación de la NIA-ES 240

- Tratar la evaluación del riesgo de fraude como un ejercicio anual. La NIA-ES 240.13 exige mantener viva la evaluación durante todo el encargo. Las inspecciones del ICAC publicadas en el BOICAC muestran que una proporción elevada de los expedientes sancionados no documentan ninguna actualización tras obtener nueva información en el trabajo de campo.

- Confiar en representaciones de la dirección sin corroboración independiente. El párrafo 240.A58 deja claro que las representaciones escritas no son evidencia suficiente y adecuada por sí solas. La experiencia internacional confirma que la dirección implicada en fraude proporciona representaciones escritas falsas en una proporción muy alta de los casos investigados por reguladores de mercados como la SEC y la FRC.

- Aplicar programas de trabajo estándar sin adaptarlos al cliente. Esta es la causa más recurrente de fraude no detectado en las inspecciones de calidad. La NIA-ES 240 exige adaptar; lo que se hace es copiar y pegar el archivo del año anterior.

Contenido relacionado

- Riesgo de fraude NIA-ES 240: Definición completa del riesgo de incorrección material debida a fraude y los procedimientos de evaluación requeridos - Evaluador de riesgo de fraude NIA-ES 240: Herramienta interactiva para documentar la evaluación del riesgo de fraude según los factores del párrafo 240.A1 - Procedimientos analíticos en auditorías de fraude: Cómo adaptar los procedimientos de la NIA-ES 520 para detectar manipulaciones financieras

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.